

Discover more from La Naturaleza del Software
Te hackeamos po' compadre
Reflexión sobre ingeniería social, fatiga MFA y usabilidad en ciberseguridad
La plataforma Firefox Monitor me informa que mi email está entre las más de doscientos millones de direcciones filtradas desde Twitter. Esta filtración se ejecutó en 2021, usando una vulnerabilidad de la API que permitía revelar cuentas con su respectivo email. Esta información estaba disponible antes, pero para acceder a esta había que pagar considerables sumas de dinero, pero el 4 de enero de este año fue liberada en un foro público. De todas maneras, la vulnerabilidad fue corregida por la empresa en 2022.
Si quieres saber si tu email y cuenta en Twitter fue filtrada consulta en el sitio web: https://haveibeenpwned.com. O puedes suscribirte a Firefox Monitor. Yo llevo varios años utilizando ese servicio.
El título de esta entrada hace referencia al “Tío Emilio”, Emilio Sutherland, un periodista de la televisión chilena que empleaba la frase “te pillamos po’ compadre” en sus reportajes de denuncia o en su programa “en su propia trampa”. Normalmente, investigaba a estafadores y los desenmascaraba en sus notas.
Sin embargo, fue también protagonista de uno de los mayores embustes en ciberseguridad de nuestro país. El famoso caso Huracán, y en particular en el cuento del Profesor Smith y su software Antorcha.
Este personaje proclamaba que había hackeado el servicio WhatsApp, algo que levantó las sospechas de la comunidad nacional de ciberseguridad.
No entraré en más detalles sobre este caso, porque es conocido por todos, y porque tiene ramificaciones complejas y bastante turbias que salpican a muchas instituciones importantes del país.
En lo que me quiero centrar es en un aspecto de esta estafa, el aspecto sicológico y de manipulación que hubo detrás del éxito de Smith, que le permitió engañar a policías, periodistas y a las diversas instituciones que creyeron sus afirmaciones.
La razón es que nuestros sesgos cognitivos, nuestras ganas de tener certezas nos hacen presas fáciles de la manipulación, o como se dice en ciberseguridad, nos volvemos en objetivos para la ingeniería social (social-engineering).
Incluso las personas con más entrenamiento pueden llegar a caer en manipulaciones.
El Phishing funciona porque somos muy fáciles de hackear.
A propósito de la filtración de Twitter, se ha comentado que no es tan relevante, pues se trata de una lista de direcciones de correo, sin contraseñas, así que no es para tanto.
Ese es un gran error de apreciación. Porque con ese material se pueden realizar ataques de Phishing, o de ingeniería social. Sin considerar las correlaciones adicionales que se pueden realizar con esos datos, que permiten hasta la suplantación de identidad.
Muchas empresas invierten grandes sumas de dinero en infraestructura de ciberseguridad, carísimos appliances, sofisticados WAFs, UTMs, Zero Day Threat Protection Software, etc. Y aun así caen por el eslabón más débil de esta cadena: los seres humanos.
Incluso los procesos de acceso a los sistemas se vuelven complejos y engorrosos para evitar el acceso no autorizado. Se les entrega dispositivos adicionales para entregar “múltiples factores de autenticación”, mecanismos de push de contraseñas, generadores de claves dinámicas y un largo y nuevo etcétera.
Pero estos nuevos dispositivos y procesos complejos generan una fatiga. A tal grado que pierden su efectividad. Ha habido famosos hackeos que han aprovechado esta fatiga del MFA, generad por tanto mecanismo de protección.
Pueden ver un ejemplo de este concepto de fatiga del MFA en este video:
Acá hay un desafío de la ciberseguridad. Hasta ahora pareciera ser que la consideración de los factores sicológicos y de bienestar mental de los usuarios no han sido considerados en el diseño de mecanismos de defensa. Tampoco el enorme background de conocimientos en ciencias cognitivas, que tan efectivamente hemos usado en marketing o en usabilidad, está aún al debe en el campo de la ciberseguridad.
Mientras se siga viendo a la seguridad con una mirada coercitiva, de resguardo, de vigilancia, que busca complicar las cosas, más que facilitarlas, la ingeniería social y la manipulación sicológica seguirán ganando.
Así que ahí hay un gran campo de investigación y desarrollo para quienes se dedican a la ciberseguridad. Cómo aprovechar los conocimientos de las ciencias cognitivas y del desarrollo de la experiencia de usuario para crear herramientas eficientes que dificulten la tarea a quienes deben, los ciberdelincuentes y no a los usuarios.
Por último les dejo este otro video sobre cómo se pueden hackear los MFA, por si les interesa profundizar en estos temas.